「危ない」は分かっていた それでも残ったID／パスワード運用

パスワードを使わない認証は、もはや遠い将来の話ではない。SSOや多要素認証、パスキーなど、選択肢は広がっている。それでも現場では、IDの多さや再発行対応、管理ルールへの不安が残る。過去記事を振り返ると、企業は認証方式そのものより、その後ろにあるID管理につまづいている。

[中村篤志，キーマンズネット]

　パスワード管理は、情報システム部門にとって古くて新しい課題だ。使い回しや付箋紙へのメモ、退職者アカウントの放置といった問題は以前から指摘されてきた。一方で、近年はパスキーや多要素認証、シングルサインオンなど、パスワードに頼らない認証手段も広がっている。

　それでも、現場の負担は消えていない。業務で使うクラウドサービスが増え、IDは個人や部門ごとに分散し、管理者は「誰がどのサービスにアクセスできるのか」を把握しづらくなった。認証方式は進化しているのに、なぜパスワード管理の悩みは残り続けるのか。

流れは「パスワードをなくす方向」に進んでいる

　パスワード管理の課題は長く指摘されてきた。覚えにくく、管理もしにくい。漏えいすれば深刻な被害につながる。こうした問題を背景に、IT業界ではパスワードを段階的に廃止する動きが進んでいる。

　2023年5月の記事では、Googleがパスワードレス認証規格「パスキー」を採用し、アカウント保持者がパスキーを作成できるようにしたことを伝えていた。記事では、この動きがAppleやMicrosoftによるパスワードレス認証規格の利用拡大の流れに沿うものだと説明している。

　パスキーは、顔や指紋のスキャンなど、デバイスへのアクセスと同じ方法でアプリケーションやWebサイトにサインインできる仕組みだ。パスワードを入力しないため、フィッシング攻撃による認証情報の窃取リスクを軽減できる。

　パスワードを使わない認証は業界全体の流れになりつつある。だが、それによって企業のID管理がすぐに軽減されるわけではない。

増えたID／パスワードは、簡単には減らない

　2024年3月の記事では、キーマンズネットが実施した「ID／パスワード管理に関するアンケート」の前編として、企業の管理実態を取り上げていた。

　同記事は、新型コロナウイルス感染症（COVID-19）の影響でテレワークや在宅勤務環境の構築が進み、クラウドサービスを利用する企業が増えた結果、業務で利用するID／パスワードの数が増加し、管理が煩雑になったと説明している。

　一方で、記事ではID／パスワード数の増加傾向が、2023年6月の前回調査から落ち着きを見せ始めたとも伝えている。つまり、課題は「今も増え続けていること」だけではない。テレワーク対応やクラウドサービス利用の拡大で増えたIDやサービス、そしてその運用が、その後も残り続けていることにある。

　2024年3月の記事では、「対象システムごとにIDが異なるのが煩雑」「テレワークになりクラウドサービスの利用が増加してID管理が個人では煩雑になった」「パスワードを探す手間、忘れてしまった時の再発行の手間がかかる」といった利用者の声を紹介している。

　管理者側からも、「パスワードを忘れる社員が多く困っている」「SaaSの利用が増えたと同時にID管理しなければならない数量も増えた」といった運用課題が挙がっていた。ルールを決めても従業員任せになっている不安や、PC内、付箋紙へのID／パスワード保存といったセキュリティ上の懸念も示されている。

　パスワード管理の問題は、利用者の意識不足だけではない。働き方の変化とクラウドサービスの増加によって、ID管理が利用者にも管理者にも分散したことが現場の負担になっている。

認証方式は増えたが、運用課題は消えない

　企業が何もしていないわけではない。むしろ、パスワード以外の認証方式への関心は高まっている。

　2024年3月の記事では、ID／パスワード管理システムの導入目的として「シングルサインオンの実現のため」が最も多く、50.0％だった。現在利用しているパスワード以外の認証方式でも、「シングルサインオン」が47.3％で最多だった。パスキーの導入比率も23.0％に上り、従業員数100人以下の企業では40.4％と高かった。

　ただし、認証方式が増えれば、管理課題が自動的に解消するわけではない。

　2024年2月の記事では、パスキーをパスワードレス認証の手段として解説しつつ、企業利用には注意が必要だと説明していた。例えば、秘密鍵をどこに保管するのか、端末紛失時にどう復旧するのか、どの認証方式ならどの範囲までアクセスを許すのかといった設計が必要になる。

　同記事は、IDaaS（Identity as a Service）やIDライフサイクル管理にも触れている。入社時のID発行、異動時のアクセス権変更、退職時のID停止までを管理する必要があるという点は、パスワードレス化が単なる認証方式の置き換えではないことを示している。

　多要素認証も同じだ。2024年6月の記事では、2024年2月時点で回答者の半数以上が多要素認証を採用していると紹介する一方、多要素認証をただ導入しただけでは安全を保てないと説明していた。2022年以降、多要素認証を突破する攻撃が急増しており、安全に使う方法や攻撃への対応を従業員が理解して実践することが重要だとしている。

　SSOやパスキー、多要素認証はいずれも重要な選択肢だ。だが、それらは「入れれば終わり」の対策ではない。適用範囲、例外対応、復旧手順、利用者教育まで考えなければ、別のつまずきが残る。

管理システムやIDaaSにも、導入できない理由がある

　ID管理の課題に対して、管理システムやIDaaSは有力な選択肢になる。だが、過去記事を見ると、導入判断にも現実的な壁がある。

　2024年3月の記事では、ID／パスワード管理システムを「導入済み」とした回答が22.5％、「導入予定」が10.8％だった。いずれも前回調査から増えており、導入を進める企業は増加している。一方で、IDaaSへの移行予定が「ある」は20.4％にとどまり、前回調査の35.7％から15.3ポイント低下した。特に中堅・中小企業では「ない」が目立ち、大手企業では「ある」が約半数と、企業規模による温度差も出ていた。

　IDaaSへの移行予定がない理由としては、可用性やセキュリティリスクへの懸念、コスト面の懸念、現行システムで十分という声が挙がっている。管理システムを導入しない理由でも、「社内での優先順位が低く予算が取れないため」「必要性を感じないため」が上位に並んでいた。

　「IDaaSを導入すればよい」「認証基盤を一本化すればよい」と言うのは簡単だが、全ての企業がすぐに選べるわけではない。可用性、セキュリティ、コスト、既存環境、社内の優先順位といった事情がある。

　だからこそ、結論は「今すぐ全社で認証基盤を刷新すべき」ではなく、まず自社のID／パスワード運用の実態を把握することに置くべきだろう。

今すぐ始められること

　全社のIDを一度に整理するのは現実的ではない。そこでまずは、重要サービスからIDの所在を確認しよう。基幹システムやグループウェア、勤怠管理、「Microsoft 365」「Google Workspace」など、利用頻度が高く、重要情報に触れるサービスから、管理者権限や共有アカウント、退職者異動者のIDを確認する。

　次に、認証方式そのものではなく、適用範囲と例外を決める。SSOや多要素認証、パスキーのどれを選ぶかだけでなく、どのサービスに適用するのか、どの利用者に必須化するのか、端末紛失時や認証失敗時にどう復旧するのかを決めておく。小さく始めるなら、管理者権限を持つIDや、社外からアクセスできるサービスを優先対象にするのが現実的だ。

脱パスワード時代のパスワード管理を前に進めるには

　パスワードレス化は進んでいる。だが、パスワードをなくす手段が増えたことと、企業のID管理が整理されたことは同じではない。

　過去記事から見える企業のつまずきは、認証方式の選定そのものではなく、その後ろにあるID管理の複雑さだった。どのIDがあり、誰が使い、どの権限を持ち、異動や退職時にどう止めるのか。そこを見ないまま認証方式だけを変えても、現場の負担や不安は残る。

　今必要なのは、全てを一度に刷新することではない。まず自社のID管理の実態を見えるようにし、重要なサービスから優先順位を付けることだ。それが、脱パスワード時代のパスワード管理を前に進めるための現実的な一歩になる。